RootForum Community

Posted: **2003-05-07 17:55**

Seid ein paar Tagen logt sich 'nobody' immer um etwa die gleiche Zeit ein.
Kann sein das das schon immer so war. Aber seid neuestem ist jedesmal httpd danach down !

Sonst läuft alles, nur Apache muss neu gestartet werden.
nobody muss der Grund sein, weil genau um diese Zeit auch die letzte Mail rausging.

Code: Select all

May  5 00:15:53 p150xxxxx su: (to nobody) root on none 
May  5 00:15:53 p150xxxxx PAM-unix2[1826]: session started for user nobody, service su 
May  5 00:17:04 p150xxxxx PAM-unix2[1826]: session finished for user nobody, service su

May  6 00:18:30 p150xxxxx su: (to nobody) root on none
May  6 00:18:30 p150xxxxx PAM-unix2[5400]: session started for user nobody, service su 
May  6 00:27:46 p150xxxxx PAM-unix2[5400]: session finished for user nobody, service su 

May  7 00:17:56 p150xxxxx su: (to nobody) root on none
May  7 00:17:56 p150xxxxx PAM-unix2[8835]: session started for user nobody, service su 
May  7 00:27:16 p150xxxxx PAM-unix2[8835]: session finished for user nobody, service su

Ich nehme an 'nobody' ist ein Username für einen Serverdienst von 1&1.

Was kann der Grund für die Ausfälle sein ?

Außerdem habe ich ständig Loginversuche. Sind das Hack-Angriffe ?

Code: Select all

May  4 20:42:18 p150xxxxx proftpd[23680]: connect from 66.34.16.1 (66.34.16.1) 
May  4 20:42:24 p150xxxxx proftpd[23680]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session opened. 
May  4 20:42:24 p150xxxxx proftpd[23680]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session closed. 
May  4 20:51:09 p150xxxxx proftpd[25658]: connect from 66.34.16.1 (66.34.16.1) 
May  4 20:51:09 p150xxxxx proftpd[25658]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session opened. 
May  4 20:51:18 p150xxxxx proftpd[25658]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session closed. 
May  4 21:04:57 p150xxxxx proftpd[28735]: connect from 66.34.16.1 (66.34.16.1) 
May  4 21:05:01 p150xxxxx proftpd[28735]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session opened. 
May  4 21:05:01 p150xxxxx proftpd[28735]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session closed. 
May  4 21:18:04 p150xxxxx proftpd[32016]: connect from 66.34.16.1 (66.34.16.1) 
May  4 21:18:11 p150xxxxx proftpd[32016]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session opened. 
May  4 21:18:11 p150xxxxx proftpd[32016]: p150xxxxx.pureserver.info (66.34.16.1[66.34.16.1]) - FTP session closed. 
May  4 22:37:53 p150xxxxx proftpd[19009]: connect from 80.142.11.169 (80.142.11.169) 
May  4 22:37:53 p150xxxxx proftpd[19009]: p150xxxxx.pureserver.info (p508E0BA9.dip0.t-ipconnect.de[80.142.11.169]) - FTP session opened. 
May  4 22:37:54 p150xxxxx proftpd[19009]: p150xxxxx.pureserver.info (p508E0BA9.dip0.t-ipconnect.de[80.142.11.169]) - no such user 'anonymous' 
May  4 22:37:54 p150xxxxx last message repeated 4 times 
May  4 22:37:54 p150xxxxx proftpd[19009]: p150xxxxx.pureserver.info (p508E0BA9.dip0.t-ipconnect.de[80.142.11.169]) - USER anonymous: no such user found from p508E0BA9.dip0.t-ipconnect.de [80.142.11.169] to 217.160.xxx.xxx:21 
May  4 22:37:54 p150xxxxx proftpd[19009]: p150xxxxx.pureserver.info (p508E0BA9.dip0.t-ipconnect.de[80.142.11.169]) - FTP session closed.  
May  5 00:15:53 p150xxxxx su: (to nobody) root on none 
May  5 00:15:53 p150xxxxx PAM-unix2[1826]: session started for user nobody, service su 
May  5 00:17:04 p150xxxxx PAM-unix2[1826]: session finished for user nobody, service su 
May  5 01:25:26 p150xxxxx proftpd[1966]: connect from 217.144.225.252 (217.144.225.252) 
May  5 01:25:26 p150xxxxx proftpd[1966]: p150xxxxx.pureserver.info (217.144.225.252[217.144.225.252]) - FTP session opened. 
May  5 01:25:27 p150xxxxx proftpd[1966]: p150xxxxx.pureserver.info (217.144.225.252[217.144.225.252]) - FTP session closed. 
May  5 03:42:45 p150xxxxx proftpd[2223]: connect from 62.254.149.113 (62.254.149.113) 
May  5 03:42:55 p150xxxxx proftpd[2223]: p150xxxxx.pureserver.info (pc4-oxfd3-5-cust113.oxfd.cable.ntl.com[62.254.149.113]) - FTP session opened. 
May  5 03:42:55 p150xxxxx proftpd[2223]: p150xxxxx.pureserver.info (pc4-oxfd3-5-cust113.oxfd.cable.ntl.com[62.254.149.113]) - no such user 'anonymous' 
May  5 03:42:55 p150xxxxx last message repeated 4 times 
May  5 03:42:55 p150xxxxx proftpd[2223]: p150xxxxx.pureserver.info (pc4-oxfd3-5-cust113.oxfd.cable.ntl.com[62.254.149.113]) - USER anonymous: no such user found from pc4-oxfd3-5-cust113.oxfd.cable.ntl.com [62.254.149.113] to 217.160.xxx.xxx:21 
May  5 03:42:55 p150xxxxx proftpd[2223]: p150xxxxx.pureserver.info (pc4-oxfd3-5-cust113.oxfd.cable.ntl.com[62.254.149.113]) - FTP session closed. 
May  5 06:23:56 p150xxxxx proftpd[2538]: connect from 199.200.128.26 (199.200.128.26) 
May  5 06:23:56 p150xxxxx proftpd[2538]: p150xxxxx.pureserver.info (199.200.128.26[199.200.128.26]) - FTP session opened. 
May  5 06:23:56 p150xxxxx proftpd[2538]: p150xxxxx.pureserver.info (199.200.128.26[199.200.128.26]) - no such user 'anonymous' 
May  5 06:23:57 p150xxxxx last message repeated 4 times 
May  5 06:23:57 p150xxxxx proftpd[2538]: p150xxxxx.pureserver.info (199.200.128.26[199.200.128.26]) - USER anonymous: no such user found from 199.200.128.26 [199.200.128.26] to 217.160.xxx.xxx:21 
May  5 06:23:59 p150xxxxx proftpd[2538]: p150xxxxx.pureserver.info (199.200.128.26[199.200.128.26]) - FTP session closed.

Was kann ich dagegen machen ?

Posted: **2003-05-07 18:43**

Erstmal:

http://www.geocrawler.com/mail/msg.php3 ... 5&list=287

Und dann noch

http://www.kryptocrew.de/board/viewtopic.php?t=1128

Und dann würde ich mal schauen. was der Apache so treibt...
/var/log/httpd/error_log oder so ähnlich...

Gruss,

Out

Posted: **2003-05-07 21:33**

Monster wrote:Seid ein paar Tagen logt sich 'nobody' immer um etwa die gleiche Zeit ein.

Nein, schau dir das Log nochmal genau an:

Code: Select all

May  5 00:15:53 p150xxxxx su: (to nobody) root on none

Hier loggt sich niemand ein, sondern der User root macht ein su zum User nobody. Das "none" zeigt zudem an, dass das nicht auf einer tty stattfand, also kann es kein Einbrecher gewesen sein.

Zur Ursache: Vermutlich läuft bei dir Nachts ein updatedb-Lauf, der die Datenbank auf den neuesten Stand bringt. Schau mal in /etc/cron.daily nach, da dürfte die Datei aaa_base_updatedb zu finden sein, die unter nobody läuft. Abschalten kann man es, indem man in der /etc/rc.config die Zeile

Code: Select all

RUN_UPDATEDB="yes"

auf "no" ändert. Ã?brigens findest du dort auch den "nobody" wieder, nämlich hier

Code: Select all

RUN_UPDATEDB_AS="nobody"

Was kann der Grund für die Ausfälle sein ?

Das dürfte nicht an obigen Zeilen, sondern eher an einem möglichen logrotate oder ähnlichem liegen!?

Außerdem habe ich ständig Loginversuche. Sind das Hack-Angriffe ?

Im Prinzip schon, aber nichts ungewöhnliches und auch nichts, was man verhindern kann (außer den FTP-Daemon abzuschalten).

Posted: **2003-05-07 23:02**

thomi hat recht, nobody ist unschuldig (dem ärmsten gehört ja nicht mal ein file) ;)
deine logs zeigen den updatedb

der absturz wird durch ein "buggy" logrotate verursacht, bei dem der reload ein SIGUSR1 an apache schickt, der childs in ein nicht vorhandenes logfile schreiben läßt -> absturz

"back to the roots"

Posted: **2003-05-11 22:21**

Estmal danke für die Hilfe.

Ich habe ein /etc/logrotate.d Ordner. Da steht aber nix drin :?: Kein File.

Oder wo stehen die logrotate ?

Ist das aaa_base_updatedb denn von nöten oder kann ich das abschalten ?

RootForum Community

nobody bringt Server zum Ausfall ?

nobody bringt Server zum Ausfall ?

Re: nobody bringt Server zum Ausfall ?

Re: nobody bringt Server zum Ausfall ?

Re: nobody bringt Server zum Ausfall ?

Re: nobody bringt Server zum Ausfall ?